A startup de segurança cibernética Wiz alerta sobre uma campanha de redirecionamento na qual milhares de sites foram comprometidos usando credenciais legítimas de FTP (File Transfer Protocol), protocolo de rede para a transmissão de arquivos.
Segundo a startup, em muitos casos, os invasores conseguiram obter credenciais de FTP geradas automaticamente altamente seguras e as usaram para sequestrar os sites das vítimas para redirecionar os visitantes para conteúdo adulto.
Provavelmente em andamento desde setembro do ano passado, a campanha resultou no comprometimento de ao menos 10 mil sites, muitos pertencentes a pequenas empresas e alguns operados por grandes corporações. Diferenças em provedores de hospedagem e stacks tecnológicos (pilha de tecnologias) tornam difícil identificar um ponto de entrada comum, segundo a Wiz.
Como parte dos incidentes observados inicialmente, os invasores adicionaram às páginas da web comprometidas “uma única linha de código HTML, na forma de uma tag de script que faz referência a um script JavaScript hospedado remotamente”. As tags injetadas resultam em um script JavaScript sendo baixado e executado nas máquinas dos visitantes do site.
Em alguns casos, o código JavaScript foi injetado diretamente em arquivos existentes no servidor comprometido, provavelmente via acesso FTP, o que exclui a possibilidade de malvertising, diz Wiz.
A startup de segurança cibernética identificou vários servidores associados a esta campanha, que atendem a variações de JavaScript e mostram inúmeras semelhanças, sugerindo que estão intimamente ligados, se não fizerem parte da mesma atividade.
Veja isso
Malware redireciona 15 mil sites em campanha de SEO maliciosa
Mais de 1.300 sites falsos do AnyDesk enviam malware ladrão
O código de redirecionamento JavaScript verifica condições específicas antes de redirecionar o visitante para o site de destino, incluindo um valor de probabilidade, um cookie definido na máquina da vítima, se o visitante é um rastreador e se está usando Android ou não.
Inicialmente, o código JavaScript também foi observado identificando os navegadores dos usuários e enviando as informações coletadas para a infraestrutura controlada pelo invasor. No entanto, o comportamento não ocorre desde dezembro do ano passado.
O objetivo da campanha, segundo a Wiz, pode ser fraude de anúncios ou manipulação de SEO (Search Engine Optimization, ou otimização de mecanismos de busca), mas também é possível que os invasores estejam simplesmente procurando aumentar o tráfego para os sites de destino. No entanto, os operadores da ameaça também podem decidir abusar do acesso obtido para realizar outras atividades nefastas.